Arturu.it » Web

Non usate Internet Explorer

arturu — Fri, 22 Jan 2010 21:20:01 +0000

In Francia e Germania le autorità diffondono una nota: non usate Internet Explorer. Alla base della vicenda c’è una vulnerabilità relativa a Internet Explorer versione 6 su sistema operativo Windows XP. Lo stesso problema di sicurezza starebbe alla base del contenzioso tra Google governo cinese.

Il governo tedesco agli utenti: «Non usate Explorer»”,” Explorer, anche la Francia lancia l’allarme”. Sono questi i titoli di alcuni dei principali quotidiani online dedicati a una vicenda che merita un minimo approfondimento. Riportiamo il calendario a qualche giorno fa e per rinfrescare la memoria segnaliamo questo link dedicato alla vicenda in cui Google e Governo cinese si trovano a confrontarsi. Google ha rilevato alcune violazioni dei propri sistemi informatici notando accessi indesiderati ad alcuni account di posta elettronica: tali caselle email sarebbero per di più riconducibili ad alcuni attivisti cinesi per i diritti umani.

Da Mountain View vengono chieste spiegazioni alle autorità cinesi con la minaccia da parte di Google di sospendere ogni attività in Cina: Google parrebbe disposta a rinunciare alle enormi opportunità di business legate ai forti tassi di crescita del mercato IT in Cina e all’elevato numero di utenti potenzialmente raggiungibile. Per il momento il governo cinese non ha dato importanti riscontri, e pure le autorità americane si sono fatte avanti per far chiarezza sull’accaduto: oltre a Google ci sarebbero altre 30 aziende fatte oggetto di attacchi informatici provenienti dalla Cina. La vicenda è ancora tutta da chiarire nei suoi dettagli e, forse, ai giornali giungerà solo una parte di tali informazioni.

Questi appena descritti sono in estrema sintesi i fatti di cronaca a cui però si deve aggiungere un dettaglio essenziale e importante per poter comprendere i titoli dei quotidiani citati in apertura. Stando a quanto identificato da molti esperti di sicurezza informatica, tra i quali i tecnici di McAfee, alla base degli attacchi subiti da Google e dai già citati account Gmail vi sarebbe una vulnerabilità di alcune versioni datate di Internet Explorer.

Sarebbe proprio la vulnerabilità di Internet Explorer ad aver scatenato un putiferio in Europa tanto da indurre il Bundesamt fuer Sicherheit in der Informationstechnik – l’Ufficio Federale responsabile per la sicurezza informatica – a diffondere un comunicato nel quale invita a non usare Internet Explorer senza se e senza ma. Anche disattivando ActiveX e impostando il più alto livello di sicurezza Internet Explorer nelle versioni 6, 7 e 8 viene definito insicuro da BSI e gli utenti sono invitati a utilizzare browser alternativi.

Alla presa di posizione delle autorità tedesche fa eco un’analoga dichiarazione del CERTA (Centre d’Expertise Gouvernemental de Réponse et de Traitement des Attaques informatique) francese. Il messaggio è in sostanza il medesimo: utilizzate un browser alternativo.

A tutte queste dichiarazioni si contrappongono altre prese di posizione non così convinte della pericolosità di Internet Explorer, o meglio non convinte che altre alternative possano offrire condizioni di utilizzo veramente sicure all’utente finale. Sophos prende chiaramente posizione a fianco di Microsoft e nel blog di Graham Cluley – senior technology consultant – si legge:

“Sembra che i governi europei facciano a gara a mettere in guardia gli utenti e gli enti pubblici contro i pericoli di Internet Explorer, invitandoli a non utilizzare questo strumento fino a quando Microsoft non avrà risolto i problemi di sicurezza ma non bisogna agire in modo avventato! Spingere gli utenti ad abbandonare Internet Explorer può essere rischioso in quanto non tutti sono a proprio agio nell’utilizzare altri browser e potrebbero dunque riscontrare dei problemi nel supporto, soprattutto in considerazione del fatto che alcune applicazioni web-based non funzionano adeguatamente senza Internet Explorer. Cambiare browser ha senso solo se l’utente ha una buona conoscenza del nuovo strumento prescelto. Questo è il classico caso in cui potrebbe essere meglio non lasciare la strada vecchia per quella nuova, a meno di non conoscere perfettamente l’alternativa che si è deciso di seguire”.

Ora, in un contraddittorio è lecito dare la parola all’accusa – e lo abbiamo fatto indicando gli annunci fatti dalle autorità francesi e tedesche – ma anche alla difesa, e lo facciamo segnalandovi questo breve video diffuso poche ore fa da Microsoft Italia.

Internet Explorer -

Il video per ovvie ragioni non scende troppo nel dettaglio ma da parte Microsoft vengono citate ulteriori fonti di approfondimento. Cerchiamo ora di capire meglio il problema relativo a Internet Explorer e alla vicenda nel suo complesso per poi valutare in maniera autonoma l’accaduto.

Dalle caratteristiche pubblicate per sfruttare la vulnerabilità di Internet Explorer 6 – Microsoft indica solo questa versione affetta dalla vulnerabilità in oggetto- gli utenti che hanno subito un attacco sono stati indotti a visitare una particolare pagina web appositamente creata. Nel caso specifico potrebbe essere stata usata una email, insomma Microsoft sottolinea la natura mirata degli attacchi ai singoli utenti e non all’infrastruttura di Google.

A ciò nella ricostruzione di Redmond viene fatto notare un dato di fatto non trascurabile: la vulnerabilità è sfruttabile su sistema operativo Microsoft Windows XP e con Internet Explorer versione 6. Microsoft sottolinea come entrambi i prodotti siano vetusti – vengono definiti paleolitici dal blog di Feliciano Intini – sottolineando come oggi sia disponibile Windows 7 e Internet Explorer 8. Per la versione del browser ci sentiamo di condividere la posizione di Microsoft mentre per quanto riguarda il sistema operativo è inutile sottolineare quanto Windows XP sia tutt’oggi diffuso, soprattutto in molte aziende. Per Microsoft pare non esserci alcun allarme straordinario, anzi i vari esponenti approfittano della situazione per sensibilizzare su un aspetto fondamentale per la sicurezza: l’aggiornamento del software e del sistema operativo.

Un dettaglio però non ci tornava e abbiamo voluto chiedere diretto riscontro a Feliciano Intini -chief security advisor di Microsoft Italia -. Nelle note delle autorità tedesche e francesi vengono indicati come potenzialmente vulnerabili anche Internet Explorer 7 e 8, mentre dalle informazioni diffuse da Microsoft il problema parrebbe limitato alla sola versione 6 in abbinamento a Windows XP. Inutile sottolineare che su molti altri articoli pubblicati non venga nemmeno indicata la versione di Internet Explorer. Questa omissione farebbe quindi supporre che tutti gli utenti abituati all’uso di tale software siano in pericolo.

Siamo quindi andati alla fonte rivolgendo il quesito all’esperto di Microsoft. La situazione più pericolosa si concretizza su PC dotati di sistemi operativi Microsoft Windows XP in abbinamento Internet Explorer versione 6. La stessa vulnerabilità è presente in Internet Explorer 7 e 8 ma con sistema operativo più recente preoccupa di meno se l’utente abilità la modalità IE Protected Mode e DEP. Al momento è nota l’esistenza di attacchi a sistemi dotati di Internet Explorer 6 e Windows XP e pare più complicato sfruttare le medesime vulnerabilità su sistemi più aggiornati. Detto ciò, e Microsoft stessa lo ammette, il problema va risolto e anche in fretta.

Nell’apertura di questo articolo abbiamo descritto una situazione molto seria e problematica, soprattutto in relazione alla diffusione di Internet Explorer e al potenziale bacino di utenti a rischio. Nell’analisi dei fatti il tutto risulta più limitato e circostanziato. Sia chiaro: la vulnerabilità in Internet Explorer 6 rimane e al momento è meno preoccupante nelle versioni 7 e 8, andrà risolta magari senza aspettare il prossimo patch day.

Stando alle attuali informazioni disponibili e in attesa di eventuali sviluppi, la sitazione diviene pericolosa in un contesto nel quale l’utente o chi per esso non sia in grado di gestire correttamente il proprio sistema omettendo poche e semplici abitudini che ormai da anni descriviamo: software e sistema operativo aggiornato con le ultime patch in abbinamento a suite per la sicurezza completa (il solo antivirus potrebbe non bastare!), magari non sviluppata da Microsoft ma da terze parti in virtù di una maggiore possibilità di scelta.

In apertura abbiamo citato enti francesi e tedeschi e pare doveroso segnalare il punto di vista del CERT-SPC -unità di prevenzione e gestione degli incidenti informatici del Sistema Pubblico di Connettività – italiano che in una nota diffusa qui riporta:

In relazione alla vulnerabilità di tipo “zero-day” che interessa Internet Explorer già osservata dal CERT-SPC dallo scorso 15 Gennaio ed illustrata nella sezione bollettini, si rappresenta che in ambito SPC al momento non sono stati segnalati incidenti riconducibili alla stessa. Si evidenzia però il rischio associato alla possibilità di sfruttare tale vulnerabilità in associazione ad iniziative di spam, ai risultati proposti dai motori di ricerca ed ai collegamenti presenti sui social network, inerenti eventi di particolare ed attuale interesse collettivo, quali il recente sisma che ha devastato HAITI o all’attenzione mediatica sull’uscita del film AVATAR. Tali circostanze possono essere utilizzate dagli attaccanti per indurre gli utenti a visitare pagine web appositamente realizzate per inoculare malware o la sfruttare anche questa vulnerabilità in Explorer.
…Microsoft, infine, in una nota preventivamente anticipata al CERT-SPC ha indicato anche l’ipotesi di un aggiornamento di sicurezza di tipo “OUT OF BAND” ovvero straordinario rispetto al normale ciclo di rilascio del software correttivo appena avvenuto per il mese di Gennaio.

Fonte

Poste Italiane Hacked

arturu — Sun, 11 Oct 2009 08:46:40 +0000

Sotto attacco il sito delle Poste italiane. Pirati informatici ne hanno alterato l’homepage, scrivendoci una propria nota in italiano, dove dichiarano perché l’hanno fatto: per dimostrare quanto siano deboli le protezioni di Poste e così allarmare i correntisti sulla sicurezza dei loro dati.

Poste smentisce che questi siano mai stati in pericolo, tuttavia. Alle 20.20 di sabato sera, l’attacco: il sito di Poste.it è stato sfregiato dai pirati. Dopo 30 minuti i responsabili se ne sono accorti e hanno messo il sito offline, rendendolo quindi non più raggiungibile dagli utenti.

Sul sito campeggiava una grande scritta, “hacked”, e una nota scritta dai due presunti hacker, che si sono firmati Mr. Hipo e StutM. “Perché questo atto di forza? Per dimostrare a milioni di italiani che i loro dati sensibili non sono al sicuro! Sembra pazzesco – si legge – eppure tutta la sicurezza garantita nei servizi online di e-commerce è solamente apparente”, era scritto nella nota. “Per vostra fortuna noi siamo persone non malintenzionate, perciò i vostri dati e i vostri accounts non sono stati toccati; ma cosa succederebbe – si legge ancora – se un giorno arrivasse qualcuno con intenzioni ben peggiori delle nostre?”.

“Con questo gesto quindi – continua la nota – invitiamo i responsabili a occuparsi della grave mancanza di sicurezza nei servizi online delle Poste s.p.a.”. I responsabili però minimizzano. “È solo un ‘defacement’ che riguarda il sito informativo di Poste.it. Non sono stati violati i server con i dati personali degli utenti, che quindi non sono mai stati in pericolo” dice a Repubblica.it Gerardo Costabile, responsabile Sicurezza Logica, Poste Italiane.

Il defacement è un’azione dimostrativa abbastanza comune, che consiste nello sfregiare un sito. Al solito, per riuscirci, i pirati sfruttano bug ed errori sul server che regge il sito. “Ancora non sappiamo come l’hanno fatto. Lo sapremo entro domani mattina, probabilmente. Adesso la polizia postale è nei nostri datacenter per le indagini sul caso”, aggiunge. “I defacement comunque sono un fenomeno abbastanza fisiologico su internet, se ne contano circa mille all’anno solo in Italia”.

Vero è che, negli anni, i pirati hanno colpito così siti di varie levature, anche istituzionali. Nel 2006 è capitato persino al ministero della Difesa. “Questa volta fa rumore perché si tratta di Poste e perché i pirati lanciano un’accusa in italiano”, aggiunge. Questo dettaglio in effetti è inusuale. Di solito i defacement sono neutri (semplicemente i pirati fanno vedere quanto sono bravi e scrivono in inglese); stavolta hanno voluto invece gettare fango direttamente sulla reputazione di Poste. Aspetti che potrebbero indirizzare le indagini verso i responsabili.

Fonte Repubblica.it

Legge Stanca? Già applicabile così com’è

arturu — Tue, 29 Sep 2009 15:32:21 +0000

Riporto una lettera inviata dal presidente dell’associazione IWA-Italy a Punto Informatico riguardo all’articolo sulla legge Stanca pubblicato alcuni giorni fà. Roma – Caro Direttore, sono a scrivere questa lettera come presidente dell’associazione IWA Italy, l’associazione degli sviluppatori esperti di accessibilità riconosciuta come tale dal CNIPA in relazione alla legge 4/2004. Come ben sa sono uno degli autori della legge 4/2004 e dei requisiti tecnici della suddetta legge e spesso mi capita di leggere discussioni in cui la normativa (ma soprattutto il decreto ministeriale contenente i requisiti tecnici) viene – forse per mancata conoscenza dell’argomento – indebitamente criticata.

IWA ha fornito inoltre supporto al CNIPA (Centro Nazionale Informatica Pubblica Amministrazione) anche nella fase di formazione e divulgazione, tramite convegni ed attività di formazione gratuita erogata dallo stesso CNIPA tramite docenti esperti di accessibilità di IWA ITALY. Esperti di IWA inoltre stanno fornendo supporto al CNIPA nella fase del cosiddetto “monitoraggio” dei siti delle P.A. centrali, e stiamo vedendo che la situazione non è poi così nera come spesso viene dipinta.

Innanzitutto, spiace che spesso vengano travisate le parole delle persone, soprattutto “a scoppio ritardato”. Mi riferisco in particolar modo alle considerazioni pubblicate nel Web in cui ci si meraviglia che solo il 3% (tre per cento) delle P.A. centrali abbia ad oggi una home page (non un sito) conforme ai requisiti tecnici della legge 4/2004.

Da qui, tralasciando le solite esternazioni sui mancati obblighi normativi (forse quando si scrive velocemente ci si dimentica che oltre alla legge 4/2004 vi è anche il codice della P.A. Digitale…), nascono purtroppo delle incomprensioni che portano sempre alla stessa minestra: le P.A. non aggiornano i siti Web con conformità ai requisiti tecnici in quanto “di difficile applicazione e molto onerosi”. Lo stesso Antonio De Vanna nelle sue relazioni (la prima delle quali risale ancora al mese di dicembre 2007… ma solo oggi fa “scalpore”), fa ben capire che nel 3% figurano molti casi di eccellenza che dimostrano proprio quanto l’inapplicabilità dei requisiti sia una leggenda metropolitana.

Tra i casi citati dal dott. De Vanna vi sono oltre 150 scuole della Lombardia che – autonomamente e senza necessità di stanziamenti statali – hanno avviato dei processi per sviluppare/convertire i siti dei propri istituti alla conformità dei requisiti tecnici. Cosa significa? Significa che degli insegnanti (quindi non propriamente dei tecnici specializzati o, come si definiscono alcuni, dei “professionisti”) hanno investito del loro tempo per documentarsi, confrontarsi e quindi sviluppare siti Web conformi ai requisiti, incontrandosi e scambiandosi informazioni tramite il progetto Porte aperte sul Web. Se questo non è sufficiente a dimostrare la teoria per cui l’applicazione dei requisiti non è una cosa “per pochi eletti”, basti solo ricordare che ciò che richiama la legge è una raccomandazione del 1999 (del secolo scorso) che richiede di usare in modo corretto elementi ed attributi di linguaggi come HTML e XHTML presenti da oltre 10 anni: chi si vuol definire professionista e ad oggi non sa (o non vuol sapere) che per impaginare dei contenuti vanno seguite delle regole, più che professionista può definirsi un “webbista” e – come tale – non può certo proporsi per fornire servizi a realtà come le Pubbliche Amministrazioni che, per legge, devono fornire servizi fruibili da tutti, indipendentemente dalle disabilità a cui possono essere soggetti alcuni utenti. Per aiutare la crescita dei “webbisti” (o dei professionisti volonterosi), oltre a liste tecniche di discussione gratuite (http://itlists.org), è stato reso disponibile anche un manuale.

Personalmente, dopo aver scritto il manuale di applicazione della legge 4/2004 (con prefazione dell’allora Ministro Lucio Stanca), ho ritenuto utile rilasciarlo gratuitamente a disposizione nel sito del CNIPA, onde evitare le infinite discussioni su liste e forum sulla corretta interpretazione per l’applicazione dei requisiti: il manuale c’è, è quindi scaricabile, fruibile ed è il riferimento anche per chi effettua le verifiche tecniche. Tramite Webaccessibile.org, la risorsa di IWA ITALY per l’accessibilità del Web, sono inoltre disponibili degli strumenti gratuiti di ausilio (citati dallo stesso Antonio De Vanna ai recenti convegni) per la valutazione dei requisiti, tra cui la barra dell’accessibilità.

Rileggendo gli ultimi paragrafi, è ben chiaro che è tutto disponibile gratuitamente, senza alcun costo per lo sviluppatore: l’unico “costo” da sostenere è la riconversione dello sviluppatore dal mancato rispetto degli standard al corretto modo di sviluppare contenuti ed applicazioni per il Web. Spesso durante seminari e docenze veniamo in contatto con persone che, purtroppo, non hanno avuto adeguata formazione nello sviluppo di contenuti tramite linguaggi di marcatura: è un po’ il medesimo problema che si trova quando si chiede quanti sanno formattare correttamente i titoli e – in generale – il documento con i programmi di word processing…

Vorrei quindi concludere questa prima parte della lettera ribadendo per l’ennesima volta che applicare i requisiti di legge non è una cosa riservata a pochi eletti ma è una serie di piccole regole applicabili da chiunque ne comprenda le motivazioni e le modalità di implementazione. Chi non riesce e/o non vuole applicarle spesso estrae dal cilindro la scusa della difficoltà o della particolare onerosità: in questo caso consigliamo sempre alle P.A. di cambiare fornitore in quanto inadeguato alle esigenze di garantire l’accesso a tutti i cittadini.

Tra le altre critiche che sorgono in questi giorni vi è il mancato adeguamento della legge ai nuovi “standard”, quali il cosiddetto “Web 2.0″. È doveroso fare una premessa secondo cui il “Web 2.0″ non è altro che un termine commerciale per vendere qualcosa di vecchio come fosse novità anche alle stesse P.A.. Vorrei ricordare ad esempio che AJAX non è altro che la combinazione di Javascript con chiamate tramite oggetto XMLHTTPRequest disponibile già da Microsoft Internet Explorer 5.0, quindi nulla di nuovo a livello di “tecnologia”. È pur vero che l’attuale normativa (basata sulle uniche raccomandazioni internazionali ritenute “stabili” dalla stessa UE) pone un vincolo all’uso di script: il requisito 15, difatti, prevede che la pagina deve essere fruibile anche in assenza di script. Questo, in alcuni casi, è possibile farlo anche per applicazioni AJAX-based in quanto un buon sviluppatore AJAX sa che deve pensare all’uso di AJAX all’interno dell’applicazione ma deve applicarlo alla fine, ovvero deve comunque garantire l’utilizzo dell’applicazione anche in mancanza di AJAX.

Il Web evolve, e col Web evolvono anche le specifiche: stiamo difatti sviluppando all’interno del W3C le future raccomandazioni per il Web tra cui le WCAG 2.0 per l’accessibilità dei contenuti e le ATAG 2.0 per l’accessibilità delle applicazioni che generano contenuti per il Web. Le WCAG 2.0 porteranno, tra le novità, la possibilità di utilizzare tecnologie “accessibility supported”, ovvero una serie di tecnologie (HTML, CSS, Javascript) dichiarate direttamente accessibili da utenti con tecnologie assistive, supportate dai browser più comuni in modo nativo e/o tramite plug-in. Questo significa che le WCAG 2.0 rimuoveranno il limite del requisito 15 ma chiederanno allo sviluppatore di garantire direttamente l’accessibilità degli script e degli oggetti di programmazione. Non sarà quindi sufficiente, ad esempio, inserire una mappa di Google o un widget di Flickr/YouTube nel sito della P.A. ma si dovrà “potenziare” l’oggetto inserendo delle funzionalità che consentiranno – per ogni elemento presente – l’identificazione del ruolo, dello stato e delle proprietà (ovvero, quanto richiesto dalla nascente specifica WAI-ARIA del W3C).

Pertanto consigliamo già da oggi di documentarsi su come produrre applicazioni accessibili: personalmente ho prodotto un libro a cui hanno partecipato esperti internazionali del settore e, per chi vuole essere all’avanguardia, consiglio di studiarsi i nuovi frame work accessibili.

Allo sviluppo di queste specifiche partecipano, come unici italiani, i soci IWA che nella fase di adeguamento della 4/2004 potranno portare il loro attivo contributo nello sviluppo di requisiti basati sui nuovi standard. Anche l’ISO si sta muovendo nello sviluppo di nuove norme per le interfacce Web (ISO 9241-151) ed anche in questo caso i soci IWA partecipano attivamente alla definizione di tali norme tecniche. Ci tengo a precisare che chiunque, all’interno di IWA, può partecipare a queste attività sapendo bene che richiedono tempo (audio conferenze settimanali, discussioni in liste tecniche, ecc. ecc.) e non prevedono compensi. Lo stesso W3C sta riconoscendo le potenzialità di italiani e questo ha portato alla nascita di una nostra divisione (IWA Labs) dedicata alla sperimentazione delle future specifiche: stiamo testando soluzioni per XHTML 2, per SMIL 3.0, WAI-ARIA e vediamo come sia possibile effettivamente garantire maggior solidità ed accessibilità alle applicazioni Web.

Riguardo all’adeguamento normativo italiano, ricordando che siamo legati all’art. 12 della legge 4/2004:

1.Il regolamento di cui all’articolo 10 e il decreto di cui all’articolo 11 sono emanati osservando le linee guida indicate nelle comunicazioni, nelle raccomandazioni e nelle direttive sull’accessibilità dell’Unione europea, nonché nelle normative internazionalmente riconosciute e tenendo conto degli indirizzi forniti dagli organismi pubblici e privati, anche internazionali, operanti nel settore.
2.Il decreto di cui all’articolo 11 è periodicamente aggiornato, con la medesima procedura, per il tempestivo recepimento delle modifiche delle normative di cui al comma 1 e delle innovazioni tecnologiche nel frattempo intervenute.

Chi si occupa di aggiornare il decreto con i requisiti? Il Ministro per l’Innovazione e le tecnologie che, nella definizione dei primi requisiti, affidò lo sviluppo alla “Commissione interministeriale permanente per l’impiego delle tecnologie dell’informazione e della comunicazione a favore delle categorie deboli o svantaggiate” presieduta dal Prof. Pierluigi Ridolfi che, nel 2003, costituì una segreteria tecnico-scientifica coordinata dal dott. Antonio De Vanna ed alla quale parteciparono rappresentanze di associazioni di produttori di hardware e software, associazioni di disabili ed associazioni di sviluppatori esperti di accessibilità. La segreteria tecnico-scientifica avviò una serie di gruppi di lavoro, arrivando alla predisposizione dei requisiti tecnici tra cui i requisiti per i siti Internet, pubblicati (cosa mai successa in precedenza) nelle bozze di lavoro per raccogliere commenti dal mondo degli sviluppatori.

Successivamente, viste anche le fasi di mancata applicazione della legge legate all’idea secondo cui in mancanza di un contratto non vi sono obblighi per le P.A., come IWA abbiamo scritto nel novembre 2006 una lettera al Ministro Nicolais, ai sottosegretari Magnolfi e Scanu e alla Commissione Trasporti della Camera sollecitando la discussione del progetto di legge 1226 Campa-Palmieri II, depositato tra l’altro già dal 31 luglio 2006,lettera che ad oggi non ha avuto alcuna risposta.

Ulteriore nota negativa è legata al fatto che l’attività della commissione interministeriale permanente (e quindi della Segreteria) è rimasta ferma per oltre due anni: solo verso la fine del 2007 il Ministro Nicolais tramite un Decreto rimuoveva la commissione interministeriale permanente a favore di una commissione ministeriale la cui durata era limitata alla legislatura. La commissione fu riassegnata con presidenza a Pierluigi Ridolfi e con la Segreteria tecnica assegnata ad Antonio De Vanna: sfortuna volle che la segreteria riuscì ad effettuare una sola riunione in cui chiaramente si intendeva analizzare l’attuale situazione per adeguare i requisiti tecnici ai nuovi standard – non appena questi saranno disponibili.

Ora si è quindi in attesa della ricostituzione della Commissione (auspicando ad un ritorno alla Commissione Interministeriale) e con la costituzione di una Segreteria tecnica che – a mio avviso – dovrebbe non dipendere dalla durata della legislatura ma dovrebbe garantire un costante monitoraggio delle norme e raccomandazioni al fine di poter agevolmente fornire al Ministro competente delle proposte di adeguamento delle cosiddette regole tecniche.

I tempi quindi sono maturi per iniziare a discutere di WCAG 2.0, ATAG 2.0, WAI-ARIA ed ISO 9241-151 magari predisponendo una versione transitoria dei requisiti per garantire un tempo utile di adeguamento sia agli sviluppatori che alle P.A. La mia idea è quella di proporre inizialmente la sostituzione del requisito 15 con un requisito di chiara ispirazione alle WCAG 2.0, in particolar modo al criterio di successo 4.1.2:

4.1.2. Nome, ruolo, valore. Per tutti i componenti presenti nell’interfaccia utente come: il nome, il ruolo, gli stati, le proprietà e i valori di programmazione possono essere determinati programmaticamente mentre gli stati, le proprietà, ed i valori che anche l’utente è in grado di impostare, possono anche essere stabiliti in modo programmatico. Qualsiasi notifica delle modifiche a questi elementi è disponibile ai programmi utente, tra cui le tecnologie assistive.

In questo modo si chiede quindi allo sviluppatore di usare in modo corretto le nuove tecnologie “Web 2.0″, garantendo alla tecnologia assistiva di comprendere il ruolo di elementi che, per definizione, non sono oggetti attivi (esempio: elementi “div” o “span” utilizzati per simulare menu a tendina, checkbox, ecc. ecc.) e soprattutto di comprendere eventuali azioni/modifiche di contenuto generate in modo dinamico (esempio: notifica di invio e-mail tramite AJAX, ecc.).

IWA ha attivato un gruppo di lavoro (aperto a tutti gli associati) nel progetto IWA LABS con lo scopo di lavorare già alla predisposizione di una bozza di requisiti tecnici basati sulle versioni “2.0″ delle linee guida del progetto WAI del W3C, con finalità di predisporre un documento che sarà presentato come base di discussione alla prima riunione utile della futura segreteria tecnico-scientifica a cui IWA parteciperà, come in precedenza, come associazione degli sviluppatori esperti di accessibilità (tra i quali, ricordo, figurano gli unici italiani che stanno sviluppando le raccomandazioni W3C-WAI).

Sperando che quanto detto sopra possa chiarire anche ai Vostri lettori che la mancata applicazione della normativa non è legata all’inefficienza della legge 4/2004 ma va ricercata all’interno di altre problematiche dirigenziali e tecniche all’interno delle P.A., cordiali saluti.

Roberto Scano
Presidente IWA ITALY

Fonte Punto-Informatico.

Legalità nei siti della Pubblica Amministrazione

arturu — Tue, 29 Sep 2009 15:30:12 +0000

Non ci sono mezzi termini per descrivere i risultati dell’analisi del CNIPA sui progressi delle presenze web della pubblica amministrazione: i disabili non sono considerati, gli strumenti che utilizzano per accedere ad Internet, ai contenuti e ai servizi non sono presi in considerazione, le loro necessità sono semplicemente dimenticate dalla PA online.Il CNIPA, il braccio informatico del Governo, ha condotto una rilevazione sulla presenza web delle amministrazioni pubbliche riscontrando, a molti anni dalla Legge Stanca sull’accessibilità dei siti web pubblici, che solo il 3 per cento dispone di siti web accessibili.

Ieri al Forum PA ne ha parlato l’esperto dell’organismo tecnico, Antonio De Vanna, che nel corso del convegno Accessibilità tra attuazione ed evoluzione ha spiegato che “sulle home page di 1.426 siti di Pubbliche Amministrazioni centrali, emerge che la conformità alle 9 caratteristiche analizzate, riconducibili a 8 dei 22 requisiti previsti dal DM 8 luglio 2005, è raggiunta solo dal 3 per cento del totale, con alcune amministrazioni la cui conformità raggiunge il 6 per cento”.

Sono passati quattro anni dal varo della Legge Stanca, ha sottolineato De Vanna, e “a circa tre anni dalla sua entrata in vigore non sono ancora soddisfacenti i risultati raggiunti su questo fronte dalla Pubblica Amministrazione Centrale e da quella Locale”.

La norma è in sé promossa a pieni voti, ha spiegato l’esperto del CNIPA, evidenziando come sia stata presa a modello a livello europeo. Il problema sta tutto nella lentezza del processo di attuazione ma anche nel mancato ricorso alle sanzioni: come a dire che molti siti delle PA violano la norma ma questo non ha conseguenze. Questi elementi, uniti alla “necessità di presidiare l’innovazione tecnologica e l’evoluzione del concetto di categoria svantaggiata – ha continuato De Vanna – ci spingono a riflettere su nuove azioni normative, culturali ed organizzative che diano nuovo slancio all’adeguamento da parte della Pubblica amministrazione e che consentano di raggiungere l’obiettivo fissato dalla Conferenza Ministeriale di Riga, ovvero la piena conformità di tutti i siti della Pubblica amministrazione entro il 2010″.

Il tempo non abbonda ma, secondo De Vanna, con un “maggior coinvolgimento della classe dirigente responsabile dei Sistemi Informatici, della Comunicazione e dell’Accessibilità” è possibile portare a casa il risultato. Per ora rimane il fatto che i molti servizi online della PA, pur tempestati dal ricorso ossessivo a piattaforme proprietarie e talvolta criticati perché scarsamente funzionati ed utili, sono accessibili perlopiù alla sola popolazione abile. Sul sito del CNIPA una sezione dedicata può consentire a tutte le amministrazioni, centrali e locali, di riscattare il proprio clamoroso ritardo, offrendo le linee guida per mettere in atto le misure necessarie a trasformare le proprie presenze su web. Altre info e riferimenti, oltreché sui numerosi siti di settore, si trovano su publiaccesso.gov.it.

(fonte immagine)

Fonte Punto-Informatico